AWS導入支援・クラウド運用代行 スカイアーチネットワークス

【重要】Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Apache Struts2にて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache Software Foundation は、2020年8月13日に Apache Struts 2 の脆弱性 (CVE-2019-0230、CVE-2019-0233) に関する情報 (S2-059、S2-060) を公開しました。本脆弱性が悪用されると、Apache Struts 2 が動作するサーバーにおいて、遠隔の第三者により任意のコードが実行されたり、サービス運用妨害(DoS) が引き起こされたりする可能性があります。

Apache Struts 2 Documentation
Security Bulletins S2-059

Apache Struts 2 Documentation
Security Bulletins S2-060

脆弱性 CVE-2019-0230 は、第三者が細工したリクエストを送信することで、任意のコードが実行される可能性があります。脆弱性 CVE-2019-0233 は、ファイルをアップロードする際に第三者がリクエストを不正に操作することで、サービス運用妨害 (DoS) が引き起こされる可能性があります。

Apache Software Foundation は、CVE-2019-0230 の深刻度を「Important」、CVE-2019-0233 の深刻度を「Medium」と評価しています。脆弱性の影響を受けるバージョンの Apache Struts 2 を使用している場合には、「III. 対策」を参考に早期の対応を行うことを推奨します。

対象

次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

Apache Struts 2
– 2.5 系列 2.5.20 およびそれ以前のバージョン

開発者によると、次の点が指摘されています。
– 2019年11月に公開された 2.5.22 は本影響を受けない
– 既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける

対策

Apache Software Foundation より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用をご検討ください。

Apache Struts 2
– 2.5 系列 2.5.22 以降のバージョン

詳細は、Apache Software Foundation からの更新情報を参照してください。

Apache Struts 2 Documentation
Version Notes 2.5.22

備考

最終更新日 2020.08.18

お気軽にご相談ください

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers